解讀美國國會關於OPM資料洩露事件的調查報告

2015年7月，美國聯邦人事管理局（OPM）公開承認曾遭到兩次黑客入侵攻擊，攻擊造成現任和退休聯邦僱員超過2210萬相關個人資訊和560萬指紋資料遭到洩露。洩露內容包括詳細個人資訊，如社會安全碼、姓名、出生年月、居住地址、教育工作經歷、家庭成員和個人財務資訊等。美官員聲稱，這是美國政府歷史上最大的資料洩露案件之一。美國前高階反間諜官員布倫納（Joel Brenner）表示，對外國情報機關來說，這些資訊簡直就是金礦或者皇冠上的明珠。

OPM攻擊最早由美國計算機應急響應中心（US-CERT）通過愛因斯坦入侵檢測系統（Einstein）發現，但US-CERT聲稱OPM網路可能早於愛因斯坦系統部署前就已被滲透。

9月7日，美眾議院監督和政府改革委員會公佈了名為《The OPM Data Breach: How the Government Jeopardized Our NationalSecurity for More than a Generation》的調查報告，報告指出OPM從根本上缺乏防患於未然的意識，簡單的“亡羊補牢”措施，導致瞭如此嚴重的後果。

調查報告批評OPM領導不力，雖然多年來一直受到資訊保安警告，但卻從未採取有效行動保護其儲存的大量敏感資料。報告認為，只要OPM採取基本的安全防範措施，加強安全意識，資訊洩露事件或許就不會發生。我們來簡要了解一下這份241頁的調查報告：

1 概要

黑客所竊取資料的重要性：

黑客從OPM盜走的SF-86表格資訊涉及美國政府僱員、國家安全僱員、情報人員、軍人和承包商等，由於國家安全或涉密領域相關的聯邦僱員必須進行背景安全調查，調查要求填寫的SF-86表格涉及個人過往和現在的大量隱私資訊，包括社會安全碼、出生年月、居住地址、教育經歷、家庭成員和個人財務資訊等，這些資訊一旦被非法利用，將對美國家安全造成威脅。

首次事件：

根據報告，美國土安全部（DHS）早在2012年7月就對OPM發出入侵攻擊警告，2014年3月，DHS愛因斯坦入侵檢測系統監測到OPM資料遭到洩露， OPM網路在晚上22時到次日上午10時經常出現可疑異常流量，經分析，這是黑客在半夜進行大量資料的竊取活動。

後續事件：

2014年3月，經過取證分析，OPM發現了第一位入侵系統的黑客X1,之後幾個月OPM與FBI、NSA和其它機構合作對這位黑客展開監控調查，並擬定“大爆炸”（Big Bang）計劃，準備在2014年5月將這位X1黑客“驅逐”出系統。

出乎所有人預料，在“大爆炸”計劃之前，另一名假冒OPM承包商身份的黑客X2，早已入侵OPM系統並安裝了惡意軟體，而所有人都不知道它的存在。

“大爆炸”計劃之後，黑客X2潛伏於OPM網路系統。2014年7月至8月，X2竊取了OPM的背景安全調查檔案；2014年12月，X2竊取了OPM的人事檔案資料；2015年初，X2竊取了OPM大量指紋資料。

然而，OPM於2015年4月才發現黑客X2入侵了其網路系統。

2 關鍵事件節點

資料洩露事件發生後，經過OPM的調查和回顧，羅列了以下一些關鍵事件的時間節點：

2012年7月，據US-CERT報告，OPM網路遭到黑客入侵，在其中一臺伺服器上發現了植入的Hikit後門軟體；

2013年11月，黑客攻擊活動產生了第一條線索；

2013年12月，黑客攻擊活動產生了資料竊取線索（包括後續的OPM承包商認證資訊竊取）；

2014年3月20日，US-CERT警告OPM網路中存在資料竊取活動，之後，OPM與US-CERT聯合以反間諜為由實施“Big Bang”計劃，在網路中監控攻擊者（X1）。此次具體洩露資料未知;

2014年3月27日，在OPM監控黑客X1過程中，甚至還計劃了“必要時關閉整個系統“的方案；

2014年4月21日，OPM承包商SRA發現了一種特定的惡意軟體，並引起了US-CERT的關注；

2014年4月25日，黑客為後續C&C和竊取資料之用，註冊了域名“opmsecurity.org”，註冊人名稱為Steven Rogers（美國隊長）；

2014年5月7日，攻擊者X2以OPM承包商KeyPoint僱員身份，使用OPM認證資訊遠端登入進入網路，安裝後門軟體PlugX，然而，此時，OPM因為在執行監控黑客X1的“BigBang”計劃，而完全沒留意到黑客X2;

2014年5月27日，由於黑客X1向一些資料庫管理平臺植入了鍵盤記錄程式，無限接近背景調查資料處理系統PIPS，OPM不得不關閉了被黑客入侵的計算機系統；

然而，與此同時，於5月7日植入後門的黑客X2還繼續潛伏在OPM網路中；

2014年6月5日，黑客通過不同的管理員賬戶許可權成功在某KeyPoint網站伺服器中安裝了惡意軟體；

2014年6月20日，攻擊者執行RDP協議會話，遠端連線儲存有重要敏感資訊的伺服器；

2014年7月-8月，攻擊者成功從OPM系統竊取了背景調查資料；

2014年7月9日，OPM正式承認其個人身份資訊遭到攻擊洩露；

2014年7月29日，攻擊者在入侵OPM系統期間，為C&C之用，註冊了域名“opmlearning.org”，註冊人名稱為Tony Stark(鋼鐵俠)；

2014年10月，在FBI發出“美國大量政府和商業公司正遭受網路間諜攻擊”的警告後，攻擊者從OPM網路中轉移到了儲存有OPM竊取資料的美國內政部DOI資料中心；

2014年12月，攻擊者從內政部DOI資料庫中轉移了從OPM系統竊取的420萬個人資訊；

2015年3月3日，為了C&C和後續入侵使用，攻擊者註冊了”wdc-news-post.com“域名；

2015年3月26日，OPM指紋資料被竊取；

2015年4月16日，OPM聯絡安全公司Cylance進行安全工具Cylance V的技術支撐；

2015年4月17日，OPM開始在內部網路中部署CylanceProtect安全防護裝置；

2015年4月18-19日，OPM在內部網路中部署了大約2000套CylanceProtect，據Cylance工程師形容“OPM系統內發現的大量惡意事件警告足可以點亮一棵聖誕樹”；

2015年4月21日，Cylance公司取證團隊CyTech到達OPM現場進行資料取證分析；

2015年4月23日，OPM確認發生“大規模資料洩露“事件，並通報國會；

……

2015年7月10日，OPM局長Katherine Archuleta辭職；

2016年2月24日，OPM 資訊長Donna Seymour辭職。

3 OPM資訊洩露事件的主要原因

政府承包商資訊保安狀況堪憂：

在美國聯邦政府中，承包商或合同商在為政府提供支撐服務的同時，也掌握了大量政府機密資訊，容易受到APT攻擊。

例如，2014年8月，OPM聘用的對聯邦僱員背景做調查的承包商US Investigations Services(USIS)遭到網路入侵，黑客可能竊取了大量政府僱員和相關背景調查人員個人資訊，涉及31000人。事件發生後，USIS也及時通知了OPM。

2014年夏天，US-CERT曾對政府承包商KeyPoint公司進行過網路安全評估，情況不容樂觀。就在2014年12月，KeyPoint發現48000名聯邦僱員個人資訊因網路攻擊洩密，這其中就包括了OPM僱員資訊。

USIS在2014年8月被黑客入侵後，OPM解除了與USIS的承包合同，並聘請了另外兩家承包商SRA和KeyPoint。而KeyPoint，則在2014年12月也遭到黑客攻擊。

另外，OPM承包商掌握的大量聯邦僱員健康資訊也有可能成為APT攻擊目標，如2015年2月，美國第二大醫療保險公司Anthem遭黑客入侵，近8000萬使用者資料洩露。而與OPM有合作的小型保險公司Premera於2015年3月遭到黑客攻擊，導致大約1100萬人的資訊被盜。

當前，很多政府機構嚴重依賴第三方承包商進行資訊系統維護，存在很多潛在安全風險，比如，承包商公司員工可以以政府僱員身份使用未授權的認證登入進入政府網路系統，當然這也就不難理解造成OPM資料洩露事件的原因。

政府應加強應對持續攻擊的資訊保安能力：

隨著政府資訊化建設不斷深入,美國政府面向公眾提供資訊服務的能力不斷提高,但同時帶來了新的安全風險。2004年8月簽發的國土安全12號總統令(HSPD-12),要求政府機構在簽發和使用聯邦個人身份驗證智慧卡證書時必須遵循特定的技術標準和業務流程,包括驗證員工和承包商身份所需的標準化背景調查。2008年，聯邦政府開始重視自身系統網路安全，但在以後的幾年裡，網路空間的攻擊也變得多樣和複雜，被攻擊的情況也變得越來越糟。

以OPM攻擊事件為例，2012年5月，與Anonymous相關的，隸屬於@k0detec黑客組織的成員入侵了OPM資料庫並竊取了37組使用者名稱密碼資訊。而在2011年，DHS對Anonymous黑客成員的定義還僅停留在“指令碼小子“的層面。

OPM無法在關鍵時刻識別並處置威脅：

OPM因儲存有現任和退休政府僱員及承包商敏感資訊，對APT攻擊來說是理想的入侵目標。當然，OPM也應該設定高度安全的防護策略。但在2014年之前，OPM網路中存在各種漏洞，

雖然在2014年之後，OPM對資訊保安有所改進，但是實際效果太差。在2014年關鍵時刻，低效的領導能力和不當的決策能力，導致了資料洩露事件的發生。

OPM的網路安全支出始終落後於其他聯邦機構：

OPM在2015財年的網路安全預算支出：

OPM在2014財年的網路安全預算支出：

OPM在2013財年的網路安全預算支出：

OPM在2012財年的網路安全預算支出對比：

OPM多年來一直忽視安全警告：

OPM依賴計算機技術和資訊系統來管理數百萬現任和之前的聯邦僱員以及相關親屬資訊，任何惡意攻擊（黑客攻擊、蠕蟲或病毒）都可能對管理系統的效率和可用性造成影響。

為了承擔儲存背景調查資料的重任，OPM在2005年開始就加強了網路安全，之後OPM接手了國防保密處（DSS）針對90%聯邦政府僱員的安全背景調查業務（FIS）。

2005年以來，在情報改革和反恐法案的大背景下，背景和忠誠度調查顯得越來越重要，同時，OPM也注意到資訊保安對其儲存資料的重要性。在2005-2007年間的OPM督察辦審計年報中都對資訊系統存在的漏洞進行過識別。在2008年的半年國會報告中，OPM督察辦承認保護敏感資訊和個人身份資訊的長期必要性。

2008年秋，OPM督察辦報告指出，上一年資訊系統存在的重要漏洞沒有被完全解決，可能會對資訊系統產生重要威脅。同時，督察辦警告OPM現有的安全策略多年未更新，主要認證鑑別系統存在重大缺陷，另外，在措施執行和里程碑計劃中，缺乏專業的資訊保安人員；

2009年，OPM領導更換，John Berry成為新任局長；2009年9月，OPM督察辦報告聲稱OPM的資訊保安狀況正在惡化；

2010年初，OPM督察辦繼續對OPM資訊保安狀況表示“嚴重擔心“；

2012年，OPM把資訊保安業務集中劃歸給首席資訊辦（OCIO）承擔，2012年3月，OPM督察辦聲稱”我們的審計報告表明OPM的資訊保安水平亟需提高“，同時督察辦指出OCIO在處理資訊保安問題時缺乏有效授權，另外，OPM系統需要儘快遷移到集中化管理平臺，因為“現執行的基本程式設計存在缺陷”；

但是，直到2013年底，由於人員不足和預算限制，集中化資訊保安管理仍沒能實現；就在2013年OPM準備更換領導時，OPM督察辦釋出了兩份重要審計報告，第一份聲稱OPM資訊系統存在重要漏洞；第二份對儲存有背景調查資料的PIPS系統給予安全警告。

OPM督察辦對PIPS系統的漏洞發現和安全警告非常具有先見之明，但當這些警告快要生效時，OPM又迎來了新的領導。

4 第一次網路攻擊的發現

應急響應：

2014年3月20日，US-CERT通知OPM其網路存在資料洩露可疑活動。US-CERT通過第三方機構獲悉被竊取資料通過一個已知的C&C域名進行傳輸通訊。經查證分析：

聯邦背景調查服務FIS的賬戶被入侵；

攻擊者遠端C&C伺服器正與OPM的一臺伺服器進行通訊；

C&C伺服器與OPM系統的通訊連線為加密資訊；

C&C伺服器連線OPM網路時間通常為晚上22點至早上10點之間；

攻擊者利用攻陷的系統使用者在OPM網路中搜尋背景調查處理系統（RIPS）的相關檔案；

在對可疑網路流量的首次監測分析中發現，C&C與OPM伺服器之間的通訊使用了4位元組的異或碼加密；

OPM自身的安全工具無法檢測識別到C&C的加密通訊，OPM承包商配合NetWitness工具和解密指令碼對網路進行可疑流量監測，最終識別出了被感染的主機系統和攻擊者操作執行的命令；

Big Bang計劃：

自2014年3月25日起，OPM聯合US-CERT、FBI、NSA組成跨部門聯合調查組，對該攻擊者進行網路監控響應，監控目的一方面為了解攻擊者的”戰術-技術-程式（TTPS）“指標,另外為確認入侵者身份和入侵目的。

5月27日，在RIPS系統即將成為攻擊者下一個入侵目標時，OPM打算以“Big Bang”計劃對黑客進行清除”驅趕“。

OPM和US-CERT採取的措施包括：下線清理所有被入侵的系統、重置可能遭到攻擊的150個賬戶資訊、強制所有管理員賬戶使用PIV個人身份認證卡進行登入驗證、重置所有管理員賬戶、為入侵系統重建賬戶、重置內部路由資訊等。

以下為2014年6月US-CERT監控到的OPM背景調查處理系統RIPS相關的部分洩露文件目錄：

US-CERT在當年6月的響應報告中聲稱：攻擊者使用SMB命令刺探內網中RIPS管理員相關的共享檔案。在對被入侵系統的調查中發現，檔案影印電子件、壓縮檔案、文件都成為了攻擊者的目標清單，被髮往C&C伺服器。

最終，雖然OPM承認了2014年3月的資訊洩露事件，但US-CERT聲稱在這之前可能還存在其它檔案資料洩露的可能。

5 攻擊者的線索和惡意軟體資訊

經取證分析發現了攻擊者在2014年入侵前後使用的惡意軟體Hikit和C&C域名資訊：

而Hikit後門軟體是APT攻擊組織Axiom經常使用的黑客工具之一，這型別惡意軟體通常是Poision Ivy、Gh0st、ZXsheell的變種。

另外，OPM根據特定的域名分析工具發現，攻擊者主要使用三個註冊域名進行C&C活動：opmsecurity.org、wdc-news-post.com、opm-learning.org，這三個域名的註冊人名稱分別為：Steve Rogers、Tony Stark、Tony Stark。而這也是另一個APT組織Deep Panda常用的註冊習慣，以下為ThreatConnect對幾個註冊域名的分析：

Tony Stark （鋼鐵俠）

Steve Rogers（美國隊長）

Natasha Romanoff（黑寡婦）

James Rhodes(戰爭機器)

John nelson（鋼鐵俠視覺特效導演）

Dubai Tycoon（鋼鐵俠中的另一個人物）

另外，在OPM的入侵事件中，攻擊者還使用以下域名架構進行C&C通訊：

調查顯示，2014年，攻擊者使用Hikit後門程式對OPM網路發起攻擊，最終利用了PlugX惡意軟體竊取了RIPS中的背景調查資料。而Hikit和PlugX是APT組織Axiom和DeepPanda常用的黑客工具：

6 參與OPM攻擊事件應急響應的兩家安全公司

CyFIR:

CyFIR是一家小規模的安全服務公司，專門為美國政府提供安全事件應急響應服務，公司以：全球範圍的快速響應能力、綜合集中調查、動態視覺化分析、全方位取證和非法影像識別為服務宗旨。在2014年RSA大會期間，CyFIR為了凸顯國家間的安全對抗狀況，在其展臺上放置了一幅備受爭議的海報，隨後引起軒然大波。

Cylance：

Cylance是一家成立於2012年的網路安全企業。Cylance安全平臺採用了一套基於演算法的安全協議來檢查網路薄弱環節，同時Cylance 還有一套黑客學習系統，利用機器學習技術實現對網路威脅的事先預測和防護。目前，全球已有1000 多家客戶使用 Cylance 系統。2016年6月，Cylance獲得了 1 億美元的 D 輪融資。此前，Cylance曾陸續收購了Ridgeway、Skout Forensics、Spearpoint等資訊保安公司，這些公司的產品涵蓋蜜罐技術、網路取證和工業控制系統網路安全評估等技術。其旗下的主打服務產品為CylanceProtect。

7 結語

也許，OPM事件的最終處理結果非常讓美國人民不滿意，這份國會調查報告的最終目的，還是希望政府能加強網路資訊保安能力建設，最大程度地保護個人資訊保安和國家安全不受威脅。

本文轉自d1net（轉載）